为什么Cloudflare的这项动态对企业重要？

Cloudflare这篇博客表面上是技术披露，实则是一份**对整个互联网路由安全生态的公开审计和点名施压**。其核心意图在于： 1. **合围Juniper与Nokia**：通过明确标注Juniper和Nokia路由器默认不启用`enforce-first-as`，Cloudflare将安全责任直接指向这些厂商的默认配置。这迫使竞争对手（如Cisco、Arista）借机宣传自身默认安全优势，从而夺取市场份额。Juniper的**Junos OS**长期以稳定性和功能丰富著称，但此次暴露的默认安全短板可能让企业网络团队重新评估其采购决策。 2. **隐性锁定用户的路由安全策略**：企业若依赖未强制First AS的厂商（如Juniper），则必须手动启用`enforce-first-as`命令。但该命令的开启可能影响与IXP路由服务器的交互（因为路由服务器不追加自身AS）。Cloudflare的测试实际上在暗示：使用Juniper的企业需要更复杂的策略配置来避免误杀合法路由，增加了运维复杂度和风险。 3. **故意隐瞒的物理限制与成本陷阱**：文章提到无法持续发送违规通告因为会导致BGP会话重置（部分网络未实现`treat-as-withdraw`）。这意味着实际运营中，如果企业误配置了First AS检查（例如在IXP场景下错误启用），可能造成全局BGP会话中断。Cloudflare未详细讨论这种误配置风险，而是聚焦于攻击场景，可能低估了运维人员实施该检查时的试错成本。此外，测试仅覆盖Tier 1，大量中小ISP未检查，但中小ISP的BGP安全投入更薄弱，实际攻击面远大于报告显示。 4. **控制平面转移**：该事件本质上是将路由安全控制点从**RPKI/ASPA**（集中式信任锚）向**BGP会话层的本地验证**（分布式、基于邻居关系）转移。Cloudflare通过推动First AS强制检查，试图削弱对RPKI基础设施的依赖，因为RPKI的ROA/ASPA可以被绕过（如伪造合法origin AS），而First AS检查是**无需额外PKI的轻量级防御**。这有利于降低路由安全门槛，但同时也将安全责任完全压给每个网络的边缘路由器，增加了边缘设备的策略管理负担。

这项动态的影响程度如何？

该情报被评估为对企业具有重大影响，建议技术决策者关注。

Cloudflare 2026-06-03

Industry Signal 影响: Major 置信: 95%

Cloudflare实测曝光半数Tier 1网络未强制BGP First AS检查，路由劫持漏洞升级

内容摘要

Cloudflare通过故意违反First AS规则的BGP通告，测试了全球主要Tier 1网络。结果显示半数网络（包括Verizon、NTT、Lumen等）未强制执行RFC 4271/7606的First AS检查，可被用于伪造AS_PATH的路由劫持。Juniper路由器默认不启用该检查是主要短板。

核心要点

Cloudflare利用其全球BGP会话，向主要Tier 1提供商故意通告了违反First AS规则的测试前缀（将非13335的AS402542作为AS_PATH中的第一个AS）。通过对比正常任播前缀1.1.1.0/24与违规前缀162.159.82.0/24在公共路由视图中的传播情况，发现以下Tier 1网络未强制执行First AS检查（接受并安装路由）：AS701 (Verizon)、AS2914 (NTT)、AS3356 (Lumen/Colt/Cirion)、AS6461 (Zayo)、AS6762 (Sparkle)、AS6830 (Liberty Global)、AS12956 (Telefonica)。而AS1299 (Arelion)、AS3257 (GTT)、AS5511 (Orange)等7家则正确丢弃了违规路由。

进一步分析发现，未强制First AS的Tier 1网络主要运行Juniper Networks路由器（通过MAC地址识别）。文章整理了主流厂商的默认行为：Cisco IOS/XE/XR、Arista EOS、Huawei、OpenBGPD、FRR（自2023年10月补丁后）默认启用bgp enforce-first-as；而Juniper Junos OS/Evolved、Nokia SR OS、Extreme SLX-OS、RouterOS、BIRD默认不启用。

文章强调，ASPA（自治系统提供商授权）无法防御攻击者完全伪造AS_PATH的情况（如示例中AS64505隐藏自身ASN直接冒充AS64506）。只有强制检查First AS匹配对等体ASN才能阻断此类攻击。RFC 7606要求对畸形AS_PATH采用treat-as-withdraw方式丢弃特定前缀，而非重置整个BGP会话。

重要性说明

Cloudflare这篇博客表面上是技术披露，实则是一份对整个互联网路由安全生态的公开审计和点名施压。其核心意图在于：

合围Juniper与Nokia：通过明确标注Juniper和Nokia路由器默认不启用enforce-first-as，Cloudflare将安全责任直接指向这些厂商的默认配置。这迫使竞争对手（如Cisco、Arista）借机宣传自身默认安全优势，从而夺取市场份额。Juniper的Junos OS长期以稳定性和功能丰富著称，但此次暴露的默认安全短板可能让企业网络团队重新评估其采购决策。
隐性锁定用户的路由安全策略：企业若依赖未强制First AS的厂商（如Juniper），则必须手动启用enforce-first-as命令。但该命令的开启可能影响与IXP路由服务器的交互（因为路由服务器不追加自身AS）。Cloudflare的测试实际上在暗示：使用Juniper的企业需要更复杂的策略配置来避免误杀合法路由，增加了运维复杂度和风险。
故意隐瞒的物理限制与成本陷阱：文章提到无法持续发送违规通告因为会导致BGP会话重置（部分网络未实现treat-as-withdraw）。这意味着实际运营中，如果企业误配置了First AS检查（例如在IXP场景下错误启用），可能造成全局BGP会话中断。Cloudflare未详细讨论这种误配置风险，而是聚焦于攻击场景，可能低估了运维人员实施该检查时的试错成本。此外，测试仅覆盖Tier 1，大量中小ISP未检查，但中小ISP的BGP安全投入更薄弱，实际攻击面远大于报告显示。
控制平面转移：该事件本质上是将路由安全控制点从RPKI/ASPA（集中式信任锚）向BGP会话层的本地验证（分布式、基于邻居关系）转移。Cloudflare通过推动First AS强制检查，试图削弱对RPKI基础设施的依赖，因为RPKI的ROA/ASPA可以被绕过（如伪造合法origin AS），而First AS检查是无需额外PKI的轻量级防御。这有利于降低路由安全门槛，但同时也将安全责任完全压给每个网络的边缘路由器，增加了边缘设备的策略管理负担。

PRO 决策建议

【Vendors（竞争对手）】

Cisco和Arista应立刻发布白皮书和销售话术，对比自身默认启用bgp enforce-first-as与Juniper/Nokia默认不启用的安全差距。在网络设备采购RFP中，将“默认启用First AS检查”列为强制安全基线，并展示Cloudflare的测试数据作为证据。
FRR和OpenBGPD等开源路由栈可借此机会宣传其默认安全配置，并联合云服务商（如Cloudflare、AWS）推动行业最佳实践文档，将First AS检查纳入BGP安全审计标准。

【企业（CIO/架构师）】

立即对所有边界路由器进行BGP配置审计：检查是否启用了bgp enforce-first-as（Cisco/Arista）或enforce-first-as（Juniper）。对于Juniper设备，需配置set protocols bgp group <name> enforce-first-as;。特别注意IXP对等会话应排除该检查（使用no enforce-first-as或通过策略控制）。
实施零信任路由验证：结合RPKI、ASPA与First AS检查形成多层防御。在BGP入站策略中增加对AS_PATH完整性的验证（如最大AS长度、AS_SET过滤）。
要求所有上游Tier 1/2提供商提供First AS强制检查的合规证明，否则考虑更换提供商以降低路由劫持风险。

【投资者】

关注Juniper和Nokia的网络安全声誉风险：此次披露可能引发大型企业客户对Junos默认安全性的质疑，影响其数据中心和运营商市场份额。短期内可能看到Cisco/Arista在路由安全领域的营销攻势。
Cloudflare通过此类技术披露强化了其作为互联网安全守护者的品牌定位，间接推动其BGP安全相关服务（如Route Leak Detection）的采用。可关注其安全业务线的增长。
路由安全初创公司（如Noction、BGPMon）可能受益于企业对BGP安全审计工具的需求增加。

来源： blog

查看原文 →

觉得这篇分析有用？

每周收到3-5条AI基础设施关键信号 →

内容摘要

核心要点

重要性说明

PRO 决策建议

觉得这篇分析有用？

💬 评论 (0)